Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
Turla Coinhive Oroszország WannaCry kiberkémkedés Izrael Radiflow VirusTotal CNIIHM Pterodo RSA routing hiba ThousandEyes CYOC BoringSSL Webroot SOHO Theodore Kramer Sofacy káros alkalmazás Operation Socialist Szíria blokklánc technológia Touch ID Cyclane MQTT Gamaredon Thaiföld Trend Micro hírszerzés
 augusztus 09. 13:09

A Black Hat USA 2018 konferencián hozták nyilvánosságra a NOZOMI Networks kutatását, amely az ICS rendszereket érő kibertámadások közül kiemelkedő TRITON malware-rel foglalkozik.

Bővebben

A Black Hat USA 2018 konferencián hozták nyilvánosságra a NOZOMI Networks kutatását, amely az ICS rendszereket érő kibertámadások közül kiemelkedő TRITON malware-rel foglalkozik. A TRITON (más néven TRISIS, vagy HatMan) az első olyan szofisztikált káros kód, ami az ún. Safety Instrumented System (SIS) rendszereket, vagyis az ipari létesítmények automatizált védelmi rendszereit célozza, amelyek feladata a meghibásodások és különböző katasztrófa állapotok megelőzése. Többek között ennek a malewarenek tulajdonítják több közel-keleti olaj- és gázipari létesítmény 2017 decemberében történt leállását. A kutatók részletesen bemutatják, hogyan alakították ki a szimulációs környezetet, és hogyan voltak képesek egyes szoftverek visszafejtésével káros tevékenységeket végrehajtani. Az elemzés arra a következtetésre jut, hogy egy TRITON támadás kivitelezése nem igényel sem komoly anyagi erőforrásokat, sem jelentős szakismeretet, így az üzemeltetők sürgős feladata a SIS rendszerek monitorozása és biztosítása. Mindennek a támogatására két saját fejlesztésű, ingyenes eszközt is közreadtak a GitHubon.

(www.nozominetworks.com)
Kevesebb
Hasonló hírek
 november 29. 10:54

Az Akamai „EternalSilence” néven azonosítja a nemrég felfedezett malware kampányt, amely otthoni és SOHO routereket céloz.

Bővebben

Az Akamai „EternalSilence” néven azonosítja a nemrég felfedezett malware kampányt, amely otthoni és SOHO routereket céloz. Az alkalmazott technika (UPnProxy) április óta ismert: a támadók az UPnP szolgáltatások sérülékenységeit használják ki, amelyek segítségével kompromittálják az eszközök NAT tábláit, hogy eltereljék a webes forgalmat, valamint ─ egy új funkcióként ─ hogy megnyissák az alapértelmezett SMB portokat (TCP 139, 445), utat biztosítva a belső hálózat felé. Az Akamai szerint körülbelül 277 000 sérülékeny UPnP implementációt alkalmazó hálózati berendezés érhető el az interneten, ebből pedig már körülbelül 45 ezer fertőzött is. A cég becslései alapján ezeken keresztül mintegy 1,7 millió eszközbe fecskendezhettek már káros kódot, amelyről ─ bár pontos információval nem rendelkeznek ─ feltételezik, hogy köze lehet az NSA-től kiszivárgott, majd a WannaCry és a NotPetya zsarolóvírusok terjedésében is közrejátszott „EternalBlue” exploithoz, valamint annak egy Linuxra írt változatához („Eternal Red”). A szakértők nem tartják valószínűnek, hogy állami támogatású csoport állna a támadási kampány mögött.

(zdnet.com)
Kevesebb
 november 21. 11:18

Az ESET kutatói felfedeztek 13 olyan, a Google Play-ről letölthető káros alkalmazást, amelyek autóvezető játékoknak álcázták magukat, azonban megnyitáskor egyetlen tevékenységet végeztek: káros kódot töltöttek le a háttérben.

Bővebben

Az ESET kutatói felfedeztek 13 olyan, a Google Play-ről letölthető káros alkalmazást, amelyek autóvezető játékoknak álcázták magukat, azonban megnyitáskor egyetlen tevékenységet végeztek: káros kódot töltöttek le a háttérben. A malware pontos tevékenységéről nem közöltek információkat, azonban annyi biztos, hogy az hozzáférést szerez az eszköz teljes hálózati forgalmához, ami a kód gazdájának privát információk megszerzésére adhat módot. A Google már gondoskodott az alkalmazások eltávolításáról, azonban az esetről posztoló kutató szerint a szóban forgó appokat összesen így is mintegy 580 000-en telepítették. A tech óriás tavaly több, mint 700 000 káros alkalmazást törölt a Google Play-ről. 

(techcrunch.com)
Kevesebb
 november 21. 10:27

Az ukrán állami CERT és az ország hírszerzése figyelmeztetést adott ki egy új Pterodo Windows backdoor variáns miatt, amelyet ukrán kormányzati ügynökségek ellen vetettek be. A közlemény néhány nappal azt követően került publikálásra, hogy több IT-biztonsági cég figyelmeztetést adott ki egy ─ döntően amerikai kormányzati, valamint üzleti szervezetek ellen irányuló ─ célzott adathalász kampány miatt, amelyért egy másik orosz APT csoportot (Cozy Bear) tesznek felelőssé.

Bővebben

Az ukrán állami CERT figyelmeztetést adott ki egy új Pterodo Windows backdoor variáns miatt, amelyet ukrán kormányzati ügynökségek ellen vetettek be. Védelmi tisztviselők mindezt egy nagyszabású támadás előkészítéseként értékelik, mivel a káros szoftver fő feladata rendszerinformációk gyűjtése és továbbítása távoli kiszolgálók felé. A malware-t a feltételezetten orosz állami gyökerű Gamaredon APT csoporttal hozzák összefüggésbe, akik többnyire „dobozos” támadó szoftverek felhasználásával főképp ukrán kormányzati és katonai célpontok ellen indítanak támadásokat. A közlemény néhány nappal azt követően került publikálásra, hogy több IT-biztonsági cég figyelmeztetést adott ki egy ─ döntően amerikai kormányzati, valamint üzleti szervezetek ellen irányuló ─ célzott adathalász kampány miatt, amelyért egy másik orosz APT csoportot (Cozy Bear) tesznek felelőssé. Szakértők szerint mindkét kollektíva az orosz belbiztonsági szolgálat (FSB) irányítása alatt áll.

(arstechnica.com)
Kevesebb
 november 20. 16:35

A sérülékenységek súlyosságának meghatározására használatos nemzetközi CVSS rendszer az ipari vezérlő rendszerek (ICS) esetében félrevezető lehet, ami negatív következményekkel járhat a szervezetekre nézve ─ mutatott rá Ilan Barda, a Radiflow vezérigazgatója egy kiberbiztonsági konferencián.

Bővebben

A sérülékenységek súlyosságának meghatározására használatos nemzetközi CVSS pontozási rendszer az ipari irányítástechnikai- és vezérlőrendszerek (ICS – Industrial Control Systems) esetében félrevezető lehet, ami negatív következményekkel járhat a szervezetekre nézve ─ mutatott rá Ilan Barda, a Radiflow vezérigazgatója egy kiberbiztonsági konferencián. Véleményét több kiberbiztonsági szakértő is osztja, például Moreno Carullo, a Nozomi Networks társalapítója és vezérigazgatója, aki a pontszámítási rendszer előnyeinek elismerése mellett is úgy véli, azt inkább csak iránymutatásra kellene használni, és alapvetően mindenkinek a saját környezetéhez mérten magának kell meghatároznia egy adott sérülékenység súlyosságát. A félrevezető pontozásra David Atch, a CyberX kutatója példaként említette a CVE-2015-5374 számú sérülékenységet, amely annak ellenére, hogy kihasználásával a hírhedt Industroyer/Crashoverride malware Siemens SIPROTEC eszközökön DoS kondíciót teremthet, csupán 7.8-as CVSS pontszámmal rendelkezik. Atch szerint mivel a SIPROTEC eszközök jelentős szereppel bírnak egyes energiatermelő rendszerekben, ez egyáltalán nem tükrözi a valós kockázatot. Egyes szakemberek megoldásként olyan kockázat alapú megközelítést javasolnak, amely a fenyegetés modellezést is felhasználva segít az adott szervezet legértékesebb assetei és folyamatai számára legnagyobb fenyegetést jelentő támadási vektorok figyelembevételére a sebezhetőségek értékelésekor, mások úgy vélik az iparnak egy új pontozási szisztémát kell létrehoznia, amely jobban fókuszál az ICS rendszerek kritikus tényezőire.  

(securityweek.com)
Kevesebb
 november 06. 16:19

A 2012 óta az Alphabet tulajdonában lévő VirusTotal rendelkezik az egyik legnagyobb online malware minta adatbázissal, amely a jövőben az amerikai kiberparancsnokság alá tartozó Cyber National Mission Force (CNMF) alegység által feltöltött, nem minősített vírusmintákat is tartalmaz majd.

Bővebben

A 2012 óta az Alphabet tulajdonában lévő VirusTotal rendelkezik az egyik legnagyobb online malware minta adatbázissal, amely a jövőben az amerikai kiberparancsnokság alá tartozó Cyber National Mission Force (CNMF) alegység által feltöltött, nem minősített vírusmintákat is tartalmaz majd. A bejelentést ugyanakkor kritikák is övezik, mivel a minták letöltése a VirusTotalon csak fizetős szolgáltatásként érhető el.

(www.scmagazineuk.com)
Kevesebb
 november 05. 11:41

Az iráni Hadashot TV hírműsorban elhangzottak szerint a Stuxnet egy új, pusztító variánsa támadta meg az ország egy stratégiai fontosságú hálózatát.

Bővebben

Az iráni Hadashot TV hírműsorban elhangzottak szerint a Stuxnet egy új, pusztító variánsa támadta meg az ország egy stratégiai fontosságú hálózatát. A nevezett vírus eredeti verzióját 2010-ben iráni nukleáris létesítmények ellen vetették be, amely ─ a széles körben elfogadott nézet szerint ─ az Egyesült Államok, az izraeli hírszerzés, valamint a GCHQ brit titkosszolgálat együttműködése révén készült. A mostani malware támadásról bővebb információkat mindeddig nem hoztak nyilvánosságra, csupán annyit, hogy ez a korábbinál is „erőszakosabb” és „kifinomultabb”, a hátterében pedig ismét Izraelt sejtik, akik a publikáció elkészültéig nem reagáltak a vádra. A Security Affairs megemlíti, hogy az utóbbi hónapok során a Mossad állítólag több műveletet is folytatott Irán ellen, amelyek során dokumentumokat szereztek meg Irán titkos nukleáris programjáról. Ayatollah Ali Khamenei iráni vezető az eset kapcsán cselekvésre szólította fel a kibervédelem terén (is) posztot gyakorló védelmi tisztviselőket. 

(securityaffairs.co)
Kevesebb
 október 31. 12:32

A WEBROOT összefoglalta azon kártevőket, amelyek a 2018-as eddigi adatok alapján a legnagyobb fenyegetést jelentették a szervezetek és felhasználók számára.

Bővebben

A Webroot összefoglalta azon kártevőket, amelyek a 2018-as eddigi adatok alapján a legnagyobb fenyegetést jelentették a szervezetek és felhasználók számára. Három fő kategória alapján állították össze a listát: botnetek és banki trójaiak, kriptovaluta bányász programok, valamint zsarolóvírusok. A banki adatok megszerzésére szakosodott kártevők között az Emotet, a Trickbot és a Zeus Panda került kiemelésre, mivel mindhárman bírnak valamilyen egyéni jellegzetességgel. Az Emotet például az áldozat routerét is megfertőzi, a Trickbothoz készítői folyamatosan adnak ki újabb modulokat, a Zeus Panda ugyanakkor egészen változatos módokon keresztül jut az áldozat gépére: Word makrókkal, exploit kit-eken, vagy akár kompromittált távoli monitoring vagy menedzsment szolgáltatásokon keresztül. A fertőzött eszközök erőforrásait lefoglaló kripto minerek közül fejlett rejtőzködő képességük miatt az Oracle WebLogic sérülékenységet (CVE-2018-2628) kihasználó GhostMiner, valamint a WannaMine tűnik ki, a Coinhive pedig elterjedtsége okán szerepel ebben a kategóriában. A ransomware Top 3 szereplőinek (Crysis/Dharma, GandCrab, SamSam) közös tulajdonsága, hogy leginkább távoli asztal hozzáférésen (RDP) keresztül fertőznek, és az RaaS (ransomware-as-a-service) üzleti modell ─ azaz a kártevők fizetős szolgáltatásként történő igénybevétele ─ miatt népszerűségük töretlen. 

(www.helpnetsecurity.com)
Kevesebb
 október 29. 15:44

A De Standaard című belga újság részleteket közölt Belgium legnagyobb távközlési szolgáltatója, a Proximus (korábbi nevén Belgacom) ellen 2013-ban elkövetett hackertámadás kivizsgálásával kapcsolatban, amely során bizonyítékokat találtak a GCHQ brit titkosszolgálat érintettségére.

Bővebben

A De Standaard nevű belga újság részleteket közölt Belgium legnagyobb távközlési szolgáltatója, a Proximus (korábbi nevén Belgacom) ellen 2013-ban elkövetett hackertámadás kivizsgálásával kapcsolatban, amely során bizonyítékokat találtak a GCHQ brit titkosszolgálat érintettségére. A cég infrastruktúrája malware (Regin) támadás áldozatává vált, amelyről már korábban gyanították, hogy összefüggésben állhat a Five Eyes országok állami támogatású kémtevékenységével, az Edward Snowden által kiszivárogtatott NSA dokumentumokban pedig ennél is konkrétabban az Egyesült Királyság került megnevezésre. Eszerint a GCHQ „Operation Socialist” fedőnevű műveletének részeként vette célba a belga telekommunikációs céget, ami a hálózatán lebonyolított magas roaming forgalom miatt volt érdekes a kémügynökségnek. A belga lap által hivatkozott bírósági vizsgálat azonban a Snowden-szivárogtatástól független bizonyítékokat tárt fel, köztük olyan IP címeket, amelyek mögötti számítógépek fertőzött Belgacomos munkaállomásokkal kommunikáltak, a kérdéses címek közül pedig három egy brit vállalat tulajdonában volt. A cikkben említésre kerül az is, hogy a nyomozás során a brit belügyminisztérium nemzetbiztonsági okokra hivatkozva megtagadta a belga hatóságokkal történő együttműködést. 

(www.securityaffairs.co)
Kevesebb